windows server 2022 启用SYN攻击保护

2023.12.28

SYN攻击是什么：

        SYN攻击是黑客攻击的常用手段，也是最容易被利用的一种攻击手法，属于DDoS攻击的一种。它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。

        SYN攻击包括大量TCP连接的第一个包，由于这些包看上去来自实际不存在的站点，因此无法有效进行处理。每个机器的欺骗包都要花几秒钟进行尝试方可放弃提供正常响应

        SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施

1、指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5

        Win+r打开shell ->输入regedit后回车 ->HKEY_LOCAL_MACHINE ->SYSTEM ->CurrentControlSet ->​​​​​​​Services ->Tcpip ->Parameters ->右键空白 ->新建 ->DWORD（32位）->命名文件为SynAttackProtect ->更改数值为5 ->确定

2、指定处于SYN_RCVD状态的TCP连接数的阈值为500

        Win+r打开shell ->输入regedit后回车 ->HKEY_LOCAL_MACHINE ->​​​​​​​SYSTEM ->​​​​​​​CurrentControlSet ->​​​​​​​Services ->Tcpip ->Parameters ->右键空白 ->新建 ->DWORD（32位）->命名文件为TcpMaxHalfOpen ->更改数值为500 ->确定

其他修改项操作都一样

SynAttackProtect：syn 洪水攻击保护
TcpMaxHalfOpen：允许的最大半开连接数
TcpMaxHalfOpenRetried：是处于至少已发送一次重传的 SYN_RCVD 状态中的TCP连接数
EnablePMTUDiscovery：是否进行最大包长度路径检测
NoNameReleaseOnDemand：当收到网络名称释放请求时，是否释放 NetBIOS 名称
EnableDeadGWDetect：是否允许网关检测
KeepAliveTime：每隔多长时间验证一次闲置未断开连接，单位：ms
PerformRouterDiscovery：是否将试图执行路由器发现每个 RFC 1256 在每个接口基础上
EnableICMPRedirects：是否启用 ICMP 重定向